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^ (57) Abstract: This invention relates to a method for identifying and initializing digitized biometric characteristics to enable the 
encryption or encoding of confidential data. 



(57) Zusammenfassung: Beschrieben wird ein Verfahren zur Identifizierung und Initialisierung von digitalisierten biometrischen 
Merkmalen, urn eine Verschlusselung bzw. Kodierung geheimer Daten bereitzustellen. 
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Beschreibung 

Verfahren zum Schutz von Paten 



Die Erfindung betrifift den Schutz von Daten, insbesondere ein Verfahren fiir die 
Gewahrleistung von Authentizitat und Integritat von digitalisierten Daten anhand 
biometrischer Merkmale. 

Im Zuge der zunehmenden Globalisierung in fast alien Bereichen der Wirtschaft kommt 
insbesondere den neuen Informationstechnologien eine immer grofiere Bedeutung zu. An 
erster Stelle ist hierbei an die fortschreitende Nutzung von elektronischen 
Kommunikationsnetzwerken, deren bekannteste Auspragung das Internet sein diirfte, zu 
denken. Der zunehmende internationale Austausch von Waren und Dienstleistungen macht 
allerdings eine sichere Informationsweitergabe unumganglich. Derzeit Qbersteigt die Menge 
an monetSren Transaktionen in ihrem Wert den des Warenaustausches um ein Vielfaches. 
Dieser Datenverkehr wird derzeit in irgendeiner Form uber elektronische 
Kommunikationsnetzwerke (z.B.: elektronische Transaktionen wie etwa E-Commerce) 
abgewickelt. Diese Kommunikationsform erfordert aber ebenso wie im nicht-elektronischen 
Bereich, dass die Transaktionspartner sich auf Aussagen (insbesondere Willenserklarungen) 
bei der Transaktion sowohl auf den Inhalt als auch auf die Identitat des jeweiligen anderen 
verlassen konnen mussen. Da jedoch bei diesen elektronischen Transaktionen (Online- 
Transaktionen) in der Regel kein unmittelbarer Kontakt der Transaktionspartner stattfindet 
. und die Daten nur in elektronischer Form vorliegen, ist dies nicht wie sonst ublich per 
Augenschein moglich. Ohne die Moglichkeit der Authentifizierung und dem Schutz vor 
Manipulation von Transaktionsdaten ist eine Realisierung nicht denkbar. Aber auch in 
Hinblick auf den Schutz elektronischer gespeicherter Personendaten ist eine sichere 
Uberpriifung der Datenintegritat von grofier Bedeutung. Digitale Signaturen sind dabei eine 
Moglichkeit, die Authentizitat und Integritat von Daten sicherzustellen. Nur befugte 
Personen, Gruppen oder Maschinen konnen Veranderungen an Daten vornehmen. Zusatzlich 
kann jeder feststellen, ob eine Signatur authentisch ist. 
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Bekannte Signaturverfahren benutzen dabei ein sogenanntes asymmetrisches 
Verschliisselungsverfahren. Der prinzipielle Ablauf eines solchen Verfahrens sei im 
folgenden skizziert: 



5 Fur jeden Beteiligten am Signatursystem wird hierbei ein Schliisselpaar generiert, 
beispielsweise ein geheimer und ein offentlicher Schlussel, das in einem bestimmten 
mathematischen Verhaltnis zueinander stehen. Zum Erzeugen der digitalen Signatur benutzt 
der Absender seinen geheimen Schlussel, in der Regel als spezielles Unterschriftsmerkmal. 
Das zu unterschreibende Dokument wird zunachst mit einem sogenannten Hash-Verfahren 

10 komprimiert, das so entstandene Komprimat nach einem vorgegebenen Algorithmus mit dem 
geheimen Schlussel verkntipft und das Ergebnis als digitale Signatur dem zu ubertragenden 
Dokument angehangt. Der Empfanger komprimiert nun ebenfalls das Dokument und 
vergleicht dieses Komprimat mit dem in der digitalen Signatur enthaltenen Komprimat, das 
sich durch Entschlusseln der Signatur mit dem offentlichen Schlussel des Absenders ergibt. 

15 Bei Ubereinstimmung steht fest, dass der gesendete und empfangene Text gleich sind, d.h. es 
also weder Manipulationen noch Ubertragungsfehler gegeben hat. Ferner steht aber auch fest, 
dass nur der Absender, der im Besitz des geheimen Schliissels ist, die Signatur erzeugt haben 
kann, weil sonst der offentliche Schlussel nicht "passen" wurde, d.h. also keine 
Transformation auf das urspriingliche Komprimat hatte erfolgen konnen. 



Die Sicherheit moderner Signaturverfahren beruht auf der Tatsache, dass der private 
Signaturschlussel nach heutig Wissensstand selbst dann nicht ermittelt werden kann, wenn 
dem Angreifer sowohl der h. .ext, der signierte Text als auch der zugehorige offentliche 
Signaturschlussel zur Verfugung stehen. Ein Beispiel fiir ein asymmetrisches 

25 Verschlusselungsverfahren ist RSA. Das RSA-Verfahren hat seinen Namen nach denen seiner 
Entwickler erhalten: Ronald L. Rivest, Adi Shamir und Leonard Adleman, die das Verfahren 
1977 ("On Digital Signatures and Public Key Cryptosystems", MIT Laboratory for Computer 
Science Technical Memorandum 82, April 1977) bzw. 1978 ( "A Method for Obtaining 
Digital Signatures and Public-Key Cryptosystems" , Communications of the ACM 2/1978) 

30 vorstellten. Grundlage von RSA sind zahlentheoretische Uberlegungen, bei denen 

angenommen wird, dass groBe Zahlen nur schwer faktorisierbar, d.h. in Primfaktoren > 
zerlegbar sind. Es handelt sich urn das sogenannte Faktorisierungsproblem. Der vermutete 
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Rechenaufwand ist dabei so groB, dass die Verschlusselung bei geeignet gewShlten 
Schlusseln durch eine brute-force Attacke praktisch nicht zu brechen ist, Kryptoanalytische 
Angriffe sind nicht publiziert. 



5 Somit kann mit Hilfe eines derartigen asymmetrischen Verschliisselungsverfahrens ein 
signiertes Dokument eindeutig einem Signaturschliissel zugeordnet werden. Die Zuordnung 
eines signierten Dokuments zu einer Person oder Organisation ist jedoch weiterhin 
problematisch. Damit sie gelingen kann, mussen die nachfolgend genannten Voraussetzungen 
gewahrleistet werden, d.h. 9 dass erstens nur der rechtmaBige Besitzer Zugang zu seinem 
10 privaten Signaturschliissel erhalt und zweitens jedem offentlichem Schliissel der rechtmaBige 
Besitzer des zugehorigen privaten Schltissels in eindeutiger Weise zugeordnet ist. 

Um die erstgenannte Voraussetzung zu erfiillen, gibt es die Moglichkeit, den rechtmaBigen 
Besitzer des Signaturschliissels durch biometrische Merkmale zu identifizieren. 



Um die letztgenannte Voraussetzung zu erfiillen, schalten viele Systeme sogenannte Trusted 
Third Parties ein: Dritte, die nicht unmittelbar an der Transaktion beteiligt sind und deren 
Vertrauenswurdigkeit als gesichert angesehen werden kann. Das System gegenseitigen 
Vertrauens und Kontrollen wird hSufig als "Trust" -Modell bezeichnet. 



Beispiele fur die Benutzung von Signaturverfahren zur Authentifizierung und Uberpriifung 
von Datenintegritat sind: Vertrage, die elektronisch uber das Internet oder ein sonstiges 
Datennetz abgeschlossen werden; Elektronische Transaktionen (Stichwort: E-Commerce); 
Zugangskontrolle zu Resourcen (etwa Datenverbindungen oder exteme Speichersysteme); 
25 Prozesssteuerungsdaten, die exportiert und in fertigungstechnische Anlagen eingelesen 
- werden; Personendatenverwaltung (etwa Patientendatenverwaltung oder bei Behorden) 

Wie bei jedem Sicherheitssystem, gibt es auch bei den heute bekannten Signaturverfahren 
zahlreiche Angriffsmoglichkeiten, sogenannte Attacken. Diese sind in Fig. 6 in einer Tabelle 
30 aufgefuhrt. 



15 



20 
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Bekannte Signatursysteme sind beispielsweise sogenannte Smart Card Systeme. Viele auf 
Smart Card basierende Systeme bieten guten Schutz gegeniiber Angriffen auf den Schlussel 
selbst (kryptoanalytische Attacken), gegen brute-force Attacken (BFA) und gegen Angriffe 
auf die Hardware, auf welcher der Schlussel gespeichert ist. Dagegen sind replay- und fake- 
5 terminal Attacken (RA) sowie Attacken auf die Benutzer relativ erfolgversprechend, d.h., 
Smart Card Systeme stellen hinsichtlich dieser Attacken ein Sicherheitsrisiko dar. 

Einige Systeme versuchen, die Benutzer vor Diebstahl des Signaturschlussels zu schutzen. 
Sowohl PIN als auch biometrische Verfahren kommen zum Einsatz. Attacken gegen das 
10 "Trust n -Modell (TMA) werden von den meisten Anbietem von Authentifizierungssystemen 
noch nicht einmal diskutiert. 

Im folgenden soil ein herkommliches System beschrieben werden, das digitale Signaturen und 
die Messung biometrischer Merkmale kombiniert. Sowohl der private Signaturschliissel des 

15 Kunden als auch ein Muster oder Prototyp (das sogenannte Template) der digitalen 
Representation des gemessenen biometrischen Merkmals liegen in gespeicherter Form vor. 
Im einzelnen werden folgende Authentifizierungsmafinahmen getroffen: Der Benutzer 
identifiziert sich - zum Beispiel durch Eingabe einer PIN oder indem ein biometrisches 
Merkmal ausgelesen wird. Die biometrischen Daten werden validiert, indem diese mit einem 

20 Template verglichen werden. Ist der Abstand des gemessenen Merkmals zum Prototyp kleiner 
als ein Schwellenwert, wird die Transaktion freigegeben. Dieser Abgleich fmdet in 
Lesegeraten oder in einer zentralen Clearingstelle statt. Im letzteren Fall werden die 
biometrischen Daten - verschlusselt oder im Klartext - iiber Netzwerke iibertragen. Der 
private Signaturschliissel wird freigegeben. Der Benutzer identifiziert sich, indem er das 

25 Dokument digital signiert. Meist ist das RSA Verfahren oder ein anderes asymmetrisches 
Verschlusselimgsverfahren implementiert. Haufig ist dieses auf einer Smart Card oder einer 
anderen vor Manipulationen geschutzten ("tamper'-resistenten) Hardware implementiert. Das 
signierte Dokument wird fiber ein Netzwerk iibertragen. Die kryptographische Operation wird 
mittels des offentlichen Signaturschlussel des Benutzers validiert. 



Card nicht verlasst. "Man in the middle M -Attacken (MMA) auf den privaten Signaturschlussel 



30 



Die Sicherheit dieser Verfahren beruht darauf, dass der private Signaturschlussel die Smart 
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selbst sind damit nicht moglich, solange die Smart Card in den Handen des legitimen 
Besitzers bleibt. 

Ein Beispiel fur ein Verfahren, bei dem sowohl der private Signaturschlussel des Kunden als 
5 auch ein Prototyp der digitalen Reprasentation des gemessenen biometrischen Merkmals in 
gespeicherter Form vorliegen, kann der WO 09912144 Al entnommen werden. 

Das in WO 09912144 Al vorgeschlagene Verfahren sieht vor, dass das Template in einer 
zentralen Clearingstelle in gespeicherter Form vorliegt. Diese signiert im Namen des 
10 Benutzers digital, wenn der Abstand des gemessenen biometrischen Merkmals zum Prototyp 
kleiner als ein Schwellenwert ist. 

Das in WO 09912144 Al vorgeschlagenen Verfahren weist jedoch den Nachteil auf, dass es 
inharent einige Sicherheitsprobleme in sich birgt: Erstens muss der Benutzer dem Lesegerat, 

15 in welches das biometrische Merkmal eingelesen wird, der Clearingstelle und den 
Sffentlichen Netzwerken vertrauen. Damit sind fake-terminal Attacken mSglich. 
AnschlieBend kann die digitale Reprasentation des biometrischen Merkmals in das Lesegerat 
eingelesen werden (sogenannte replay Attacke (RA)). Zweitens sind auch Angriffe auf das 
Lesegerat oder auf die Entitat, bei der das Template gespeichert ist (SKT), moglich. Soiche 

20 Angriffe haben das Ziel, das Template des digitalen Reprasentation des gemessenen 
biometrischen Merkmals auszulesen. Diese Attacken konnen auch online ausgefuhrt werden 
(MMA). Drittens konnen die dem Template der digitalen Reprasentation des gemessenen 
biometrischen Merkmals zugeordneten Daten ausgetauscht werden (STX). 

25 Die WO 09850875 beschreibt ein sogenanntes biometrisches Identifikationsverfahren, das ein 
digitales Signaturverfahren und Biometrie verwendet. Bei diesem Verfahren wird verhindert, 
dass das Template der digitalen Reprasentation des gemessenen biometrischen Merkmals 
ausgetauscht wird (STX), indem es dieses in einem sogenannten biometrischen Zertifikat 
speichert: Das Template, sowie diesem zugeordnete Benutzerdaten, werden von einer 

30 Zertifizierungsstelle validiert und digital signiert. Dies verhindert, dass die Benutzerdaten, die 
dem Template zugeordnet sind, ausgetauscht werden konnen. Der Nachteil ist jedoch, dass 
damit nicht die Moglichkeit von Replay Attacken ausgeschlossen werden kann. 
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Die WO 98/52317 beschreibt ebenfalls ein digitales Signaturverfahren. Das Verfahren gemaB 
WO 98/52317 versucht die Angriffe STT und STX zu vereiteln, indem es ohne eine 
Speicherung der digitalen Reprasentation (Template) des biometrischen Merkmals (BM) 
5 auskommt Dabei wird in einer Initialisierungsphase aus dem BM eine sogenannte Tnstan^ 
d.h. Vertreter bzw. konkretes Beispiel einer Klasse, eines Problems erzeugt, dessen Losung 
das BM darstellt. Die digitale Reprasentation ist somit nicht explizit gespeichert, sondem in 
der Instanz des Problems verborgen. WO 98/52317 schlagt vor, das Problem so zu gestalten, 
dass die digitalen Reprasentation in einer Masse Shnlicher Daten verborgen ist (camouflage). 

10 

Die Erfassung eines biometrischen Merkmals zur weiteren computergestutzten Verarbeitung 
setzt eine Analog/Digital-Wandlung voraus, die aufgrund eines stets endlichen, wenn auch 
sehr genauen Auflosungsvermogen oftmals Rundimgsfehler bei den digitalisierten Messwerte 
liefem wird. AuBerdem ist es etwa bei der Erfassung von biometrischen Merkmalen nicht 

15 realistisch anzunehmen, dass der Benutzer immer exakt gleiche Positionen bezuglich der 
Messsensorik einnehmen wird. Bei Messungen von verhaltensbiometrischen Merkmalen stellt 
sich das zusatzliche Problem, dass nicht zu erwarten ist, dass der Benutzer sein Verhalten 
zweimal exakt repliziert. Der Sinn der Verwendung von biometrischen Merkmalen ist jedoch 
gerade ihre absolut eindeutige Zuordnung zu einem Menschen (z.B.: Fingerabdruck, Netzhaut 

20 usw.). Daher sind Angaben fiber die notwendige Fehlertoleranz bzw. Angaben, wie aus den 
variierenden Messwerten eine eindeutige Zuordnung erfolgen soli, unerlasslich. WO 
98/52317 gibt jedoch keine Angaben dazu, wie grofl die Fehlertoleranz dieses Verfahrens ist. 
Ebenso bleibt es unklar, wie groB die Menge an tamender Information sein muss, damit die 
Losung des Problems nicht ausgelesen werden kann. Dies ist eine fur die Quantifizierung oder 

25 auch nur Abschatzung der Sicherheit des Verfahrens notwendige Voraussetzung. 

DE 4243908 AI versucht die Angriffe PKT, TA, STT, und STX zu verhindern, indem es ohne 
eine Speicherung des privaten Signaturschlussels und ohne eine Speicherung der digitalen 
Reprasentation des biometrischen Merkmals auskommt Das geschieht auf folgende Weise: 
30 Ein biometrisches Merkmal ABM wird gemessen. Das biometrische Merkmal ABM wird 
digitalisiert. Aus der digitalen Reprasentation des biometrischen Merkmals wird ein 
sogenannter individueller Wert fester Lange IW berechnet. Aus dem individuellen Wert IW 
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wird der private Signaturschltissel SK(A) des Senders berechnet Die Nachricht wird mittels 
dieses Schlussels SK(A) verschliisselt 



Dabei ist jedoch nachteilig, dass die Berechnung von IW mittels einer Funktion f, die eine 
5 gewisse Fehlertoleranz aufweist, geschehen soil, da unklar ist, wie diese Fehlertoleranz, auf 
die es entscheidend ankommt, fur eine derartige Funktion bestimmt werden soli. In der 
Anmeldung wird nur gefordert, dass sie "nur mit einer so geringen Wahrscheinlichkeit, dass 
dies mit der Sicherheit des Systems zu vereinbaren ist" zwei Benutzem denselben 
individuellen Wert zuweist. Ebenso ist es nachteilig, dass es unklar ist, welche Funktionen 

10 oder Klassen von Funktionen die in der Anmeldung geforderten Eigenschaften aufweisen 
sollen. Vielmehr lasst die Beschreibung der Anmeldung den Schluss zu, dass zwar einerseits 
eine Kollisionsfreiheit fur die Funktion f, d.h., es soil unmoglich sein, zwei Eingabewerte fur 
denselben Funktionswert zu finden gefordert wird, sie aber andererseits eine gewisse 
Fehlertoleranz aufweisen soil. Eine solche Funktion, die diese sich diametral 

15 gegenuberstehenden Voraussetzungen aufweist, kann es aber per definitionem nicht geben. 
Dies hat jedoch zur Folge, dass die stets reproduzierbare Generierung des gleichen privaten 
Schlussels aus neuen Messwerten des gleichen biometrischen Merkmals, nicht zweifelsfrei 
moglich ist, d.h. signierte Dokumente bzw. Daten nicht mit bekannten offentlichen Schlusseln 
identifiziert bzw. authentifiziert werden konnen. 

20 

In der US005832091A wird ein Verfahren zur Gewinnung eines eindeutigen Wertes aus 
einem Fingerabdruck beschrieben. Dieses Verfahren funktioniert wie folgt: in einem ersten 
Schritt wird der Fingerabdruck fouriertransformiert. AnschlieBend werden die 
Fourierkoeffizienten einer Abbildung unterzogen, die vom Template des Fingerabdrucks und 

25 der Auflosung des Messgerats abhangt. Aus der Rucktransformierten wird ein eindeutiger 
Wert gewonnen, aus dem sich ein Signaturschltissel ermitteln lasst. Das Verfahren weist 
jedoch die folgenden Nachteile auf, namlich das Verfahren funktioniert nur fur 
Fingerabdriicke, das Verfahren benStigt eine Fouriertransformation, fur die Abbildung, die 
vom Template abhangt, lasst sich nicht ermitteln, wie viel Information uber das Template sie 

30 preisgibt. Damit ist eine Quantifizierung der Sicherheit gegen brute-force Attacken nicht 
mSglich, und das Verfahren korrigiert lediglich Fehler, die durch das Auflosungsvermogen 
des Messgerates bedingt sind. Es bleibt unklar, ob auch Fehler, die z. B. durch 
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werden. 



Allen genannten Verfahren ist somit gemeinsam nachteilig, dass sie keine quantitativen 
5 Aussagen iiber den rechentechnischen Aufwand einer brute-force Attacke und damit den 
Schutz vor Entschlusselung ermoglichen. Somit sind sie einer Quantifizierung des Schutzes 
durch Biometrie nicht zuganglich. 

Demgegenuber liegt der Erfindung die Aufgabe zugrunde, ein Verfahren zum Schutz von 
10 Daten zu schaffen, dass eine gegenuber den Verfahren im Stand der Technik erhohte 
Sicherheit aufweist. 

Ferner ist es eine Aufgabe der Erfindung, ein Verfahren zu schaffen, das die sichere 
Verschlusselung des Signaturschliissels mit Hilfe von biometrischen Merkmalen ermoglicht. 

15 

Eine weitere Aufgabe der Erfindung besteht in der Schaffiing einer 
Quantifizierungsmoglichkeit des Verschlusselungsschutzes durch Biometrie bei einem 
derartigen Verfahren. 

20 Diese Aufgaben werden durch die im Anspruch 1 bzw. 21 angegeben Merkmale gelSst. 

Die Erfindung verwendet anmeldungsgemaB ein Signaturverfahren, bei dem der private bzw. 
geheime Schliissel (Signaturschlussel) mit Daten verschlusselt wird, die aus einem 
biometrischen Merkmal des Besitzers des privaten Schlussels gewonnen werden. Durch die 
25 Verschlusselung kann eine Gewahrleistung dahingehend erzielt werden, dass derjenige, der 
seine digitale Unterschrift mit Hilfe des Signaturschliissels gegeben hat, auch der rechtmaBige 
Besitzer ist. 

Dazu wird in einem ersten Schritt in der Authentifizierungsphase (Verifikation) ein 
30 biometrisches Merkmal des Besitzers des Signaturschliissels, vorzugsweise dessen 
handschriftliche Unterschrift, bereitgestellt. Dazu werden Messdaten von dem biometrischen 
Merkmal gewonnen. 
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In einem zweiten Schritt werden zum Erfassen und weiteren Verarbeiten des biometrischen 
Merkmals seine Messdaten digitalisiert. 

In einem dritten Schritt wird der Signaturschlussel wiederhergestellt. Dazu wird zunachst der 
Signaturschlussel anhand des in der Authentfizierungsphase gemessenen biometrischen 
Merkmals entschlQsselt und anschlieBend anhand eines kodierungstheoretischen Verfahrens 
wiederhergestellt. Alternativ kann auch zunachst das in der Initialisierungsphase gemessene 
biometrische Merkmal anhand eines kodierungstheoretischen Verfahrens aus dem 
biometrischen Merkmal, das in der Authentifizierungsphase gemessen wurde, 
wiederhergestellt werden. Dieses entschlusselt dann den Signaturschlussel. Die 
Korrekturkapazitat des Fehlerkorrekturverfahrens ist frei wahlbar, d. h., der ursprungliche, 
fehlertolerant kodierte Wert wird nur dann wiederhergestellt, wenn die Eingabe des 
Fehlerkorrekturverfahrens nicht zu weit davon abweicht. 

Es werden bei dem anmeldungsgemafien Verfahren an keiner Stelle geheime Daten, d.h. der 
Signaturschlussel sowie die digitahsierten Merkmalsdaten oder geheime Teile davon, 
gespeichert, so dass ein Austausch oder ein Diebstahl des Prototyps des biometrischen 
Merkmals nicht mSglich ist. Daher werden durch dieses anmeldungsgemSfie Verfahren 
folgende AngriffsmOglichkeiten abgewehrt: 

• KA durch den Einsatz eines asymmetrischen Verschlusselungsverfahrens; 

• PKT Attacken sind nicht moglich, da der Signaturschlussel nicht gespeichert wird; 

• Angriffe STT und STX werden ebenso verhindert, da die digitale Reprasentation des 
biometrischen Merkmals, bzw. der relevante geheime Anteil daraus, nicht gespeichert 
wird. 



MMA Attacken werden verhindert, da das biometrische Merkmal nicht fiber ein 
Datennetz Obertragen wird. 
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• In einer vorteilhaften Ausfuhrungsform werden RA Attacken dadurch verhindert, dass 
das biometrische Merkmal nicht in ein fremdes Lesegerat eingelesen wird. In einer 
anderen vorteilhaften Ausfiihrungsform, welche fremde Lesegerate voraussetzt, sind 
RA Attacken gegenuber dem Stand der Technik erschwert, da das Verfahren 
5 insbesondere gemSB Anspruch 7 zwei exakt gleiche digitale Reprasentationen des 

biometrischen Merkmals zuriickweist. 

Anspruch 2 stellt eine vorteilhafte Ausfiihrungsform einer Initialisierungsphase (Enrolment) 
zur Authentifizierungsphase des anmeldungsgemaBen Verfahrens dar. Dabei wird in einem 

10 Schritt das betreffende biometrische Merkmal entsprechend digitalisiert. In einem weiteren 
Schritt werden geheime Daten bereitgestellt. Bei einem public-key Verfahren erfolgt die fur 
ein asymmetrisches Signaturverfahren notwendige Schlusselerzeugung, d. h. die Generierung 
eines Signaturschliissels. In einem weiteren Schritt werden die geheimen Daten anhand eines 
kodierungstheoretischen Verfahrens fehlertolerant kodiert und anhand des biometrischen 

15 Merkmals verschlusselt. 

Anspruch 3 stellt eine vorteilhafte Ausfiihrungsform der Initialisierungsphase dar. Dabei 
werden zunachst die geheimen Daten fehlertolerant kodiert. Das resultierende Kodewort ist 
linger als die urspriingliche Nachricht; die redundante Information dient zur Dekodierung 
20 einer Nachricht, bei der einige Bits umgefallen sind. AnschlieBend wird das Kodewort anhand 
des biometrischen Merkmals verschlusselt. 

Anspruch 4 stellt eine vorteilhafte Ausfuhrungsform des in Anspruch 3 beschriebenen 
Verfahrens dar. Dabei wird das Kodewort erzeugt, indem die geheimen Daten mit einer 
25 generierenden Matrix multipliziert werden. Das ist beispielsweise eine effiziente Methode, 
den Raum erlaubter Kodeworte zu reprasentieren. 

Anspruch 5 stellt eine Variante der Initialisierungsphase dar. Dabei werden die geheimen 
Daten (die Nachricht) durch die Kodierung nicht verandert. Statt dessen werden separate 
30 Korrekturdaten erstellt. Diese beschreiben den Raum erlaubter Kodeworte. 
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Anspruch 6 stellt eine vorteilhafte Ausfuhrungsform der Authentifizierungsphase dar. Dabei 
wird zunachst das verschliisselte Kodewort anhand des biometrischen Merkmals 
entschlusselt. Das VerscMusselungsverfahren soil die Eigenschaft haben, dass einzelne 
umgefallene Bits keinen Einfluss auf andere Bits haben. Ein geeignetes 
5 Verschltisselungsverfahren ist die Anwendung der bitweisen exklusiven Oder-Regel (XOR). 

Anspruch 7 stellt eine weitere Variante der Initialisierungsphase dar. Dabei werden in 
Abhangigkeit vom biometrischen Merkmal separate Korrekturdaten erstellt. 

10 Anspruch 8 stellt eine Variante der Authentifizierungsphase dar. Dabei werden zunachst in 
Abhangigkeit vom biometrischen Merkmal separate Korrekturdaten erstellt. In einem 
weiteren Schritt wird das in der Initialisierungsphase gemessene biometrische Merkmal 
wiederhergestellt. Dies geschieht anhand dieser Korrekturdaten, und zwar den in der 
Initialisierungsphase erstellten Korrekturdaten und des in der Authentifizierungsphase 

15 gemessen biometrischen Merkmals. In einem weiteren Schritt werden die geheimen Daten 
anhand der wiederhergestellten biometrischen Merkmalsdaten entschlusselt. 

Anspruch 9 stellt eine Variante des in Anspruch 7 beschriebenen Verfahrens dar. Dabei 
werden die Korrekturdaten durch Berechnung von Paramteren, die aus dem biometrischen 
20 Merkmal gewonnen wurden, modulo n erstellt. Anhand dieser Daten werden Werte, deren 
Abweichung vom wahren Wert kleiner gleich n ist, auf den wahren Wert abgebildet, wahrend 
Werte, deren Abweichung groBer n ist auf einen zufalligen Wert abgebildet werden. 

Anspruch 10 stellt eine Variante des in Anspruch 8 beschriebenen Verfahrens dar. Die 
25 Authentifizierungs-Korrekturdaten werden, analog zu dem in Anspruch 9 beschriebenen 
Verfahren, Berechnung von Paramteren, die aus dem biometrischen 
Authentifizierungsmerkmal gewonnen wurden, modulo n erstellt. Die Wiederherstellung der 
biometrischen Merkmalsdaten erfolgt, indem die Differenz der Reste ermittelt wird. Diese ist 
gerade die Differenz der Werte, wenn die Abweichung kleiner n ist. 

30 
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Anspruch 11 beschreibt eine Ausfuhrungsform, bei der das Korrekturverfahren 
benutzerspezifisch ist Auf diese Weise kann die Korrekturkapazitat an die Varianz der 
biometrischen Merkmale innerhalb eines Benutzers angepasst werden. 

5 Gem£B Anspruch 12 erfolgt innerhalb des zweiten Schrittes fur die Schafifiing einer 
QuantifizierungsmSglichkeit des Aufwands von brute-force Attacken und damit, bei 
geeigneter Auslegung des Systems, einer generellen Quantifizierung des Systems hinsichtlich 
des Schutzes durch Biometrie, zusatzlich eine Zerlegung der digitalisierten Merkmals in einen 
offentlichen und nicht-offentlichen bzw. geheimen Teil. Dadurch, dass lediglich der 
10 nichtSffentliche Teil des biometrischen Merkmals zur fur die Kodierung des 
Signaturschlussels herangezogen wird, bleibt der Aufwand fur eine brute-force Attacke 
quantifizierbar. 

Gemafi Anspruch 13 werden zur Zerlegung der digitalisierten biometrischen Merkmalsdaten 
15 vorzugsweise empirische Erhebungen verwendet, da diese derzeit am einfachsten 
durchzufuhren sind. 

Gemafi Anspruch 14 wird vorzugsweise aus den digitahsierten biometrischen Merkmalsdaten 
bzw. aus dem nicht-Sffentlichen Anteil davon mit Hilfe einer Hash-Funktion fur die 
20 Kodierung des privaten Schlussels bzw. Signaturschlussels ein Hash- Wert erstellt. Dies hat 
den Vorteil einer Reduktion der Merkmalsdaten auf einen Bitstring fester Lange und damit 
auch einer Vereinfachung der Kodierung des zugehorigen Signaturschliissel, die dann 
beispielsweise einfach mit einer XOR-Verkntipfung durchgefuhrt werden kann. 

25 Gemafi Anspruch 15 wird weiterhin vorzugsweise aus den digitalisierten biometrischen 
Merkmalsdaten, die in der Authentifizierungsphase erstellt werden, mit Hilfe einer Hash- 
Funktion ein Hash- Wert erstellt, der mit bereits gespeicherten Hash-Werten 
vorausgegangener Authentifizierungen verglichen wird. Da die Hash-Funktion eine besondere 
Auspragung von sogenannten Einweg-Funktionen darstellt, besitzt sie die Eigenschaft der 

30 Kollisionsfreiheit. Unter Kollisionsfreiheit versteht man in der Kryptographie, dass ahnliche, 
aber nicht identische Texte vollig xmterschiedhche Priifsummen ergeben sollen. Jedes Bit des 
Textes muss die Prufsumme beeinflussen. Dass heifit vereinfacht gesagt, dass die Funktion 
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bei identischen Eingabewerten immer genau einen identischen Ausgabewert fester Bitlange 
liefert Diese Eigenschaft macht sich das anmeldungsgemafie Verfahren hierbei zunutze, da 
bei der wiederholten Erfassung des gleichen biometrischen Merkmals es, wie bereits erwahnt, 
nahezu unmoglich ist, dass man exakt zwei identische Messdatensatze erhalt Wenn der 
5 Vergleich zwischen dem aktuellen und den gespeicherten Hash-Werten daher zu einem 
positiven Ergebnis fuhrt, ist dies ein starkes Indiz fiir die Moglichkeit, dass man einer Replay- 
Attacke ausgesetzt ist. Demzufolge kann die Sicherheit dureh Abbruch der Authentifizierung 
gewShrleistet werden. 

10 GemaB den Anspriichen 16 und 17 werden vorzugsweise als fur das Verfahren in Frage 
kommende biometrische Merkmale der Verhaltensbiometrie verwendet Diese haben den 
Vorteil, dass sie nur schwer nachgeahmt werden konnen. Ein einfaches Kopieren von Mustern 
oder Merkmalen ist dabei nahezu ausgeschlossen. 

15 GemaB Anspruch 17 verwendet das anmeldungsgemafie Verfahren als Merkmal der 
Verhaltensbiometrie die handschriftliche Unterschrift, da diese leicht in dynamische und 
statische Anteile zerlegt werden kann, die wiederum der Zerlegung des biometrischen 
Merkmals in geheime und offentliche Teile dienen. 

20 GemaB Anspruch 18 wird vorzugsweise die handschriftliche Unterschrift derart in einen 
Offentlichen und einen geheimen Teil zerlegt, dass der geheime Teil der Unterschrift eine 
echte Untermenge der dynamischen Information ist, wodurch eine Quantifizierung ermoglicht 
wird bzw. weiterhin moglich ist, 

25 GemSB Anspruch 19 wird das in Frage kommende biometrische Merkmal mehrmals 
gemessen und digitalisiert, urn bei der digitalen Erfassung der biometrischen Merkmalsdaten 
deren Fehlertoleranz bzw. Varianzbestimmung zu verbessern. 

GemaB Anspruch 20 wird vorzugsweise fiir die Schlusselgenerierung ein herkommliches 
30 Public-Key- Verfahren vorgeschlagen, da dieses weitverbreitet ist und zuverlassig arbeitet. 
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Gemafi den Anspriichen 21 bis 27 wird eine Vorrichtung vorgeschlagen, mit der das 
anmeldungsgemafie Verfahren auf einfache Weise durchgefuhrt werden kann. 



Das anmeldungsgemafie Verfahren ermoglicht somit den Schutz von Daten in einem 
5 gegenuber dem Stand der Technik erhohten MaBstab. Dariiber hinaus ermoglicht das 
anmeldungsgemafie Verfahren die Kodierung bzw. Verschlusselung des Signaturschliissels, 
ohne dass dabei durch Speicherung von geheimen Daten neue Angriffspunkte fur Attacken 
gegen das Signaturverfahren geschaffen werden. Das anmeldungsgemafie Verfahren sowie 
die anmeldungsgemafie Vorrichtung ermoglicht weiterhin die sichere Authentifizierung von 

10 Personen oder Gruppen. Das anmeldungsgemafie Verfahren ermoglicht weiterhin, einen 
reproduzierbaren Wert axis einem biometrischen Merkmal zu ermitteln, der als Eingabe fur ein 
kryptographisches Verfahren, wie zum Beispiel PIN oder RSA verwendet werden kann. 
Aufierdem ist das Verfahren bzw. die Vorrichtung grundsatzlich einer Quantifizierung fur den 
Schutz durch Biometrie, d.h. dem Abschatzen des Aufwandes einer brute-force Attacke 

15 zuganglich. Im Gegensatz zu dem anmeldungsgemafien Verfahren konnen bestehende 
Verfahren andere Angriffe wie SST oder STX nicht ausschliefien, d.h. nicht sicherstellen, 
dass brute-force die beste Angriffsmethode ist. Brute-force ist jedoch die einzige Attacke, die 
etwa im Gegensatz zu Diebstahl des biometrischen Prototyps oder dergleichen, tiberhaupt 
quantifizierbar ist. Ist nun der geheime Anteil des biometrischen Merkmals mindestens 

20 ebenso lang wie der Signaturschliissel selbst, so ist ein Angriff auf das biometrische Merkmal 
mindestens ebenso aufwendig wie eine brute-force Attacke auf den Signaturschliissel. Damit 
lasst sich aber der Aufwand, der mindestens notig ist, urn mit brute-force Attacken den 
Signaturschliissel zu raten, zahlenmafiig angeben. Somit ist die Sicherheit des 
anmeldungsgemafien Verfahrens, das zum Schutz von Daten ein Signaturverfahren mit 

25 zusatzlicher Verschlusselung des Signaturschliissels durch Biometrie verwendet, 
quantifizierbar. 

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Unteranspriichen und 
nachfolgenden Beschreibung eines Ausfiihrungsbeispiels anhand der Zeichnung. 

30 

Es zeigt: 
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Fig. 1 einen Verlauf einer Transaktion eines herkommlichen Smart Card Systems unter 
Verwendung eines Authentifizierungsverfahrens mit digitaler Signatur; 



Fig. 2 einen Verlauf einer herkommlichen Transaktion unter Verwendung digitaler 
5 Signaturen; 

Fig. 3 einen Verlauf einer herkommlichen Transaktion unter Verwendung digitaler Signaturen 
und eines zusatzlichen Authentifizierungsschritts; 

10 Fig. 4 eine schematische Darstellung des Vergleichs der Korrekturdaten aus der 
anmeldungsgemaBen Initialisierungs- und Authentifizierungsphase; 

Fig. 5 ein Ablaufschema der anmeldungsgemaBen Initialisierungs- und 
Authentifizierungsphase; 

15 

Fig, 6 eine Tabelle, in die AngriffsmSglichkeiten und deren Abwehrmaflnahmen auf digitale 
Signaturverfahren, die zusatzlich Biometrie verwenden, aufgefuhrt sind. 

Fig. 7 die Ubertragung der Kodierungs- und Dekodierungsstufe eines kodierungstheoretischen 
20 Verfahrens auf die Korrektur fehlerbehafteter biometrischer Merkmale. 



Im folgenden werden elektronische Transaktionen als ein Anwendungsbeispiel fur das 
Initialisierungs- und Authentifizierungsverfahren diskutiert. 

25 Bei elektronischen Transaktionen ist es von zentraler Bedeutung, dass die Identitat der 
.Transaktionspartner sowie die Integritat der Transaktionsdaten eindeutig feststellbar ist. 
Unterschiedliche Verfahren, die Identitat der Transaktionspartner zu authentifizieren, sind in 
Gebrauch: 

30 Bei der Identifizierung durch Wissen geschieht die Identifizierung durch ein shared secret; in 
4 der Praxis meist Passwort, Passphrase oder PIN, bei der Identifizierung durch Besitz 
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geschieht die Identifizierung iiber den Signaturschliissel, Personalausweis usw. und bei der 
Identifizierung durch Biometrie durch Fingerabdruck, Retinabild. 

Unterschiedliche Kombinationen aus diesen Verfahren sind ebenso denkbar. So identifiziert 
5 sich jemand, der mit ec-Karte Transaktionen tatigt, durch Besitz (die Karte) und durch Wissen 
(die PIN). 

Einige Authentifizierungsverfahren konnen hSheren Sicherheitsanforderungen nicht genugen. 
So besteht bei der Identifizierung durch Wissen immer die Gefahr, dass Benutzer die 
10 Passphrase oder PIN notieren. AuBerdem konnen Passphrase oder PIN kryptoanalytisch aus 
gespeicherten Daten ermittelt werden. Um diesen Gefahren zu begegnen, setzen viele neuere 
Authentifizierungsverfahren digitale Signaturen ein. Digitale Signaturen haben noch einen 
weiteren Vorteil: Sie stellen gleichzeitig die Integritat der signierten Daten sicher: Signatur 
und Daten sind untrennbar mit einander verwoben. 

15 

Digitale Signaturen, die auf einer Smart Card oder auf einem anderen portablen Medium 
gespeichert sind, stellen lediglich einen Sonderfall der "Identifizierung durch Wissen" dar. 
Deshalb wird dieser haufig zusatzlich durch eine PIN oder durch Biometrie geschutzt. 

20 Fig. 2 stellt eine konventionelle Transaktion unter Einsatz digitaler Signaturen dar. Die 
Transaktion umfasst folgende Schritte: Eine Zertifizierungsstelle gibt Zertifikate aus und fuhrt 
Verzeichnisse, die jeder digitalen Signatur einen rechtmaBigen Besitzer zuordnen. Der 
Unterzeichner signiert einen Vertrag. Der Zahlungsempfanger validiert die Signatur anhand 
des offentlichen Schlussels des Unterzeichners. Gegebenenfalls konsultiert der 

25 Zahlungsempfanger das Verzeichnis, das die Zertifizierungsstelle fuhrt. 

Diese Form der Transaktion hat mehrere Nachteile, namlich dass der Zahlungsempfanger 
darauf angewiesen ist, den offentlichen Schlussel des Signierenden zu kennen, dass 
letztendlich nur eine Zuordnung der Zahlung zu einem privaten Signaturschliissel geschieht, 
30 d.h., ob der rechtmaBige Besitzer des Schlussels tatsachlich derjenige ist, der den Vertrag 
signiert hat, zunachst unklar bleibt, und dass sich der Kunde und der Zahlungsempfanger auf 
ein Format verstandigen miissen. 
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Bei einigen Verfahren kann der Kunde den Vertrag nur signieren, wenn er sich zuvor 
identifiziert hat. Das Verfahren lauft dann so ab, wie in Fig. 1 und 3 dargestellt In Fig. 1 sind 
Daten, die nur zeitweilig existieren, mit unterbrochenen Linien umrahmt, und Daten, die uber 

5 einen langeren Zeitraum existieren, mit durchgehenden Linien. In Fig. 3 wird eine 
herkommliche Transaktion mit digitaler Signatur und Authentifizierung dargestellt. Die 
Authentifizierung kann dabei durch Messung eines biometrischen Merkmals geschehen. Der 
Zahlungsempfanger ist dabei darauf angewiesen, den offentlichen Schlussel des Signierenden 
und ein Muster des Merkmals zu kennen. Hierzu ist zu beachten, dass eine digitale 

10 Representation des gemessenen biometrischen Merkmals uber ein Datennetz ubertragen wird. 
AnschlieBend vergleicht die Verkauferseite das gemessene biometrische Merkmal mit einem 
gespeicherten Muster (Template). Diesbezuglich sind Angriffe moglich, namlich MMA, RA, 
STT, STX. 

15 Fig. 5 zeigt das anmeldungsgemaBe Signaturverfahren in einem prinzipiellen 
Ablaufdiagramm. Dabei werden die beiden unabhangigen Verfahren der Initialisierungs- und 
Authentifizierungsphase gemeinsam dargestellt. Es umfasst folgende Schritte: Erstens wird in 
einer Initialisierungsphase wird das biometrische Merkmal des Benutzers gemessen und 
digitalisiert. Dieses wird als Prototyp P des Merkmals bezeichnet. Gegebenenfalls wird das 

20 biometrische Merkmal mehrfach gemessen. In diesem Fall wird der Prototyp P aus mehreren 
Messwerten ermittelt und fur die Initialisierung der Vorrichtung herangezogen. Idealerweise 
wird der Prototyp P anschlieBend in einen offentlichen und einen geheimen Teil zerlegt. 
Keinesfalls wird ein vollstandiges biometrisches Merkmal, geheime Teile eines Merkmals 
oder ein Prototyp desselben gespeichert. Zweitens werden in einem zweiten 

25 Initialisierungsschritt aus dem Prototyp P Korrekturdaten errechnet, welche die 
Rekonstruktion gemessener biometrischer Merkmale ermoglicht, wenn sie innerhalb eines frei 
wahlbaren Toleranzintervalls liegen. In einem dritten Initialisierungsschritt werden drittens 
die Daten, die zur Durchftlhrung des kryptographischen Verfahrens notwendig sind, 
errechnet. In einem vierten Initialisierungsschritt werden viertens die privaten Daten des 

30 kryptographischen Verfahrens mit dem Prototyp P oder Teilen von P in geeigneter Weise 
verkniipft. In den Authentifizierungsphasen wird funftens das biometrische Merkmal des 
Benutzers emeut gemessen und digitalisiert. In der bevoizugten Ausfuhrungsform ist das 
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biometrische Merkmal die Unterschrift des Benutzers, wobei dynamische Charakteristika der 
Unterschrift miterfasst werden. Die Unterschrift kann auf dem Display der Vorrichtung 
geleistet werden. Hierbei ist zu beachten, dass der Benutzer nicht aufgefordert wird, sein 
biometrische Merkmal "fremden" Geraten zu iiberlassen. Ein Diebstahl des biometrischen 

5 Merkmals ist damit erschwert. Gegebenenfalls wird das biometrische Merkmal sechstens in 
einen "Klassifikationsteil" und einen "Verifikationsteil" zerlegt. Dabei umfasst der 
"KJassifikationsteil" lediglich Sffentlich zugSngliche Informationen. Wenn die vorlaufige 
Zuordnung des biometrischen Merkmals zu einem Benutzers anhand der Informationen des 
"Klassifikationsteils" misslingt, wird der Benutzer zuriickgewiesen. Der "Verifikationsteil" 

10 umfasst ausschlieBlich nicht offentlich zugangliche Informationen. In der bevorzugten 
Ausfuhmngsform konnen das dynamische Charakteristika der Unterschrift sein. Aus dem 
"Verifikationsteil" oder aus anderen Informationen, die nur dem legitimen Besitzer des 
geheimen Schlussels zuganglich sind, wird siebtens der Prototyp P, oder ein daraus 
berechneter Wert rekonstruiert, der dem Benutzer in eindeutiger Weise zugeordnet ist. Dabei 

15 wird die Kollisionsfreiheit der Zuordnungsvorschrift in Bezug auf unterschiedliche Benutzer 
gefordert. Aus diesem Wert - und gegebenenfalls Zusatzdateien - wird achtens mittels einer 
kollisionsfreien Funktion, deren Umkehrfunktion schwer berechenbar ist, ein Wert fester 
LSnge generiert Ein Beispiel fur eine solche Funktion ist Message Digest 5 (MD5). Dieser 
Wert dient als Ausgangswert urn den privaten Signaturschlussels zu bestimmen. Alternativ 

2* H wird der private Signaturschlussel direkt aus dem Wert P ermittelt. Die Vorrichtung signiert 
neuntens die Rechnung oder Teile der Rechnung. AnschlieBend wird der Signaturschlussel 
sofort wieder geloscht. 

Im folgenden wird die Rekonstruktion des Wertes P in der Authentifizierungsphase genauer 
25 beschrieben. Zur Abbildimg auf den Wert P wird ein Algorithmus herangezogen, der folgende 
_ Eigenschaften hat: a) Er bildet legitime Eingabewerte, wie zum Beispiel digitalisierte 
biometrische Merkmale, zuverlassig auf einen Wert W ab. Im vorliegenden Fall ist das der 
Prototyp P; b) Er bildet illegitime Eingabewerte nicht auf den Wert W ab; c) Er ist skalierbar 
in Bezug auf die erlaubte Varianz legitimer Werte; d) Die Abbildungsfunktion ist auBerhalb 
30 des Intervalls, in welchen die legitimen Eingabewerte liegen, unstetig. Das heiBt, dass 

Gradientenverfahren nicht anwendbar sind; e) Er erlaubt keine Ruckschlusse auf * 
Eigenschaften legitimer Eingabewerte. 
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Die Eigenschaften a), b) und c) beschreiben die Zuverlassigkeit des Verfahrens. Die 
Eigenschaften d) und e) besagen, dass eine Analyse des Verfahrens zur Berechnung des 
Wertes W einem Angreifer keine Vorteile bietet. Das heifit, dass der Aufwand eines Angriffs 
5 auf das System ist gleich dem Aufwand einer brute-force Attacke. Dies gilt jedoch nur, wenn 
die Eingabewerte - zum Beispiel Teile der biometrischen Daten - nicht offentlich sind. 

Die oben genannten Forderungen werden durch die Dekodierstufen von gangigen 
FeMerkorrekturverfahren erfullt. Voraussetzung fur die Anwendung dieser Verfahren ist, dass 
10 der Wert W, auf den abgebildet werden soli, im Ausgangswert redundant kodiert ist. 

Fig. 7 zeigt die Ubertragung der Kodierungs- und Dekodierungsstufe eines 
kodierungstheoretischen Verfahrens auf die Korrektur fehlerbehafteter biometrischer 
Merkmale. In der oberen Zeile ist die Initialisierungsphase dargestellt. Die untere Zeile zeigt 
15 die Authentifizierungsphase. In der Initialisierungsphase werden zunachst mittels einer 
Generator Matrix (oder eines Generator-Polynoms) die geheimen Daten (z.B. der private 
Schlussel in einem Public-Key- Verfahren) auf ein legales Kodewort abgebildet. Das 
digitalisierte biometrische Merkmal (Initialisierungs-BM) verschlusselt dieses Kodewort 
durch die bitweises XOR Operation. 

20 

In der Authentifizierungsphase (untere Zeile) wird das verschlusselte Kodewort durch ein 
biometrisches Merkmal, das zu einem spateren Zeitpunkt gemessen wurde, entschliisselt (das 
Authentifizierungs-BM). Da das biometrische Authentifizierungs-Merkmal nicht exakt mit 
dem in der Initialisierungsphase gemessenen biometrischen Merkmal ubereinstimmt, ergibt 
25 sich ein fehlerbehaftetes Codewort. Dieses kaim durch die Dekodierungsstufe des 
kodierungstheoretischen Verfahrens rekonstruiert werden. 

Im folgenden wird das bereits im Prinzip geschilderte anmeldungsgema&e Signaturverfahren 
anhand eines bevorzugten Ausfuhrungsbeispiels im Detail beschrieben werden: 

30 

1. Initialisierungsphase 
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(a) In einer Initialisierungsphase unterschreibt der legitime Benutzer mehrfach auf einem 
Display der Vorrichtung. 

(b) Die Unterschrift wird digitaiisiert. Hierbei werden statische und dynamische 
Informationen erfasst. 

5 (c) Ein Muster oder Prototyp P der Unterschrift wird berechnet 

(d) Die Varianz zwischen den digitalisierten Unterschriften wird bestimmt. 

(e) Statische Informationen der Unterschrift werden zu Klassifikationszwecken gespeichert. 

(f) Die dynamischen Informationen der Unterschrift werden mit statistischen und 
psychologischen Informationen uber Unterschriften der Gesamtpopulation verglichen. 

10 Dynamische Information, die sich nicht mit Kenntnissen uber die statistischen 

Eigenschaften von Unterschriften gewinnen lasst, und die fur den Unterzeichner 
kennzeichnend ist, wird als "geheim" klassifiziert. 

(g) Die binare Representation des Merkmals wird in Quadraten der Kantenlange n 
angeordnet, wie es in Fig. 4 gezeigt ist. Der Wert von n spielt fur die Diskussion des 

15 Verfahrens keine Rolle. Je grofler n ist, desto geringere Fehlerraten korrigiert das 

Verfahren. Der Wert von n ist so zu wahlen, dass das Verfahren die gewunschte Anzahl 
an Fehlem korrigiert. Er wird anhand der eventuell in Schritt 1(d) gemessenen Varianz, 
statistischer, psychologischer oder sonstiger Erkenntnisse so gewahlt, dass die Fehlerrate, 
die innerhalb der gemessenen biometrischen Merkmale eines Benutzers zu erwarten ist, 

20 korrigiert wird. Dabei kann bei unterschiedlichen Teilmerkmalen unterschiedliche 

Fehlerraten angenommen werden. Die Lange des Merkmals ist nicht geheim. Kann das 
letzte Quadrat nicht vollstandig gefullt werden, kann ein Rechteck verwendet werden. 
Fehlende Bits werden mit Nullen aufgefullt. 

(h) Von jeder Zeile und jeder Spalte wird die Paritat notiert. Das sind 2n-l unabhangige 
25 Werte. 

(i) Die Paritaten werden beispielsweise in der anmeldungsgemaBen Vorrichtung 
abgespeichert. Obwohl sie im Prinzip ebenfalls geschtitzt werden konnten, werden sie im 
folgenden als offentliche Information angesehen. Es bleiben pro Quadrat (n-l)2 geheime 
Bits. 

30 (j) Im letzten Quadrat werden die Paritaten mehrerer Spalten zusammengefasst, so dass die 
Paritaten zu konstanten Spaltenlangen gehoren. 
(k) Alle Unterschriften werden geloscht. 
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(1) Fiir ein geeignetes Public-Key- Verfahren wird ein Schliisselpaar erzeugt. 

(m)Der geheime Schlussel wird mit Hilfe der binaren Representation des Merkmals 
geschutzt, z.B. indem das bitweise XOR des geheimen Schlussels mit dem biometrischen 
Merkmal (oder dem gehashten Wert davon) abgespeichert wird und der geheime 
5 Schlussel geloscht wird. 

(n) Mit Hilfe von statistischen Daten uber die GesamtbevSlkerung, die als allgemein 
zugSnglich anzusehen sind, wird die Zahl N der Bits des Merkmals bestimmt, die als 
geheim anzusehen sind, weil diese weder geraten werden konnen noch fur die 
Fehlerkorrektur verbraucht sind. Aufgrund der Fehlerkorrekturinfonnation kann die 
10 Anzahl der bei einer Attacke zu ratenden Bits pro Quadrat um 2n-l reduziert werden, da 

der Angreifer das Korrekturverfahren kennt. Die sich hier ergebende Zahl ist ein MaB fur 
die Sicherheit des Verfahrens. 

(o) Alle geheimen Teile des Prototyps der Unterschrift werden geloscht. 

(p) Ein Schlusselpaar, bestehend aus einem Sffentlichen und einem geheimen Schlussel wird 
15 generiert. 

(q) Der Wert P und der private Signaturschlussel werden geloscht. 

2. Authentifizierungsphase 

20 (a) In einer Authentifizierungsphase unterschreibt der legitime Benutzer auf dem Display 
einer Vorrichtung 

(b) Die Unterschrift wird mit einem geeigneten Eingabegerat digitalisiert; hierzu werden 
statische und dynamische Informationen erfasst. Das kann insbesondere das gleiche Gerat 
wie in der Initialisierungsphase sein. 
25 (c) Ein Hashwert der digitalisierten Unterschrift wird berechnet. Dieser kann in 
nachfolgenden Authentifizierungsphasen mit den Hashwerten neuer Unterschriften 
verglichen werden. Solche digitalisierten Unterschriften, die mit vorher geleisteten 
Unterschriften exakt ubereinstimmen, werden zuruckgewiesen. Dies erschwert replay- 
Attacken. 

30 (d) Offentliche Informationen der Unterschrift werden zu Klassifikationszwecken 
herangezogen, wenn die Vorrichtung auf mehrere Benutzer initialisiert wurde. 
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(e) Die binare Representation des Merkmals wird in die Quadrate der Initialisierungsphase 
eingetragen. 

(f) Die Paritaten der Zeilen und Spalten werden berechnet. 

(g) Etwaige Einbitfehler werden durch Vergleich mit den abgespeicherten Paritaten 
5 lokalisiert und korrigiert. (Siehe Fig. 4.) 

(h) Befinden sich in einem Quadrat mehr als ein Fehler, scheitert die Korrektur. Das ist 
insbesondere dann der Fall, wenn eine unzureichende FSlschung eingegeben wurde. 

(i) Das korrigierte Merkmal wird zur Wiederherstellung des geheimen Schliissels ass Public- 
Key- Verfahrens verwendet Bei dem beispielhaften Verfahren aus l(m) wird das bitweise 

10 XOR des Merkmals (oder des gehashten Wertes) mit dem Ergebnis von l(m) berechnet. 

Dieser Wert ist der geheime Schliissel. 
(j) Das zu signierende Dokument wird mittels des neu generierten privaten Schliissels 
signiert. 

(k) Der private Signaturschlussel wird geloscht. 
15 (1) Das signierte Dokument wird tlbertragen. 

(m)Die Fehlerkorrekturfiinktion lasst keine Riickschltisse darauf zu, wie weit das 

digitalisierte biometrische Merkmal von der Grenze des Korrekturintervalls entfernt ist. 

Gradientenverfahren sind daher keine geeignete Angriffsmoglichkeit. 
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Patentanspruche 



1. Verfahren zum Schutz von Daten, das eine Authentifizierungsphase mit folgenden 
Schritten aufweist: 

5 

(a) Bereitstellung eines biometrischen Merkmals; 

(b) Digitalisierung des biometrischen Merkmals zur Erstellung von digitalisierten 
biometrischen Authentifizierungsmerkmalsdaten; 

(c) Wiederherstellung geheimer Daten mittels einer Entschliisselung anhand der 
10 digitalisieren biometrischen Authentifizierungsmerkmalsdaten und anhand 

eines kodierungstheoretischen Verfahrens. 



15 



2. Verfahren nach Anspruch 1 5 das eine Initialisierungsphase mit folgenden Schritten 
aufweist: 



(a) Bereitstellung eines biometrischen Merkmals; 

(b) Digitalisierung des biometrischen Merkmals zur Erstellung von digitalisierten 
biometrischen Merkmalsdaten; 

(c) Bereitstellung von geheimen Daten; 

20 (d) Verschlusselung anhand der digitalisierten biometrischen Merkmalsdaten und 

fehlertolerante Kodierung der geheimen Daten. 

3. Verfahren nach Anspruch 2, das die auf einander folgenden Schritte aufweist: 

25 (a) Fehlertolerante Kodierung der geheimen Daten zur Erstellung eines 

Kodeworts; 

(b) Verschlusselung des Kodeworts anhand der digitalisierten biometrischen 
Merkmalsdaten zur Erstellung eines verschltisselten Kodeworts. 

30 4. Verfahren nach Anspruch 3, wobei das Kodewort durch eine generierende Matrix 
erzeugt wird. 
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5. Verfahren nach Anspruch 2, das den folgenden Schritt aufweist: Erstellung von Initial- 
Korrekturdaten zur Beschreibung des Raums erlaubter Kodeworte. 

6. Verfahren nach Anspruch 1 , das die auf einander folgenden Schritte aufweist: 

(a) Entschltisselung des verschlusselten Kodewortes anhand der digitalisierten 
biometrischen Authentifizierungsmerkmalsdaten; 

(b) Wiederherstellung der geheimen Daten anhand eines kodierungstheoretischen 
Verfahrens. 

7. Verfahren nach Anspruch 2, das den folgenden Schritt aufweist: Bereitstellung von 
Initialisierungs-Korrekturdaten anhand der digitalisierten biometrischen 
Merkmalsdaten. 

8. Verfahren nach Anspruch 1 , das folgende Schritte aufweist: 

(a) Erstellung von Authentifizierungs-Korrekturdaten anhand der digitalisierten 
biometrischen Authentifizierungsmerkmalsdaten; 

(b) Wiederherstellung der digitalisierten biometrischen Merkmalsdaten anhand der 
Authentifizierungs- und Initial-Korrekturdaten; 

(c) Entschltisselung verschlusselter geheimer Daten anhand der 
wiederhergestellten digitalisierten biometrischen Merkmalsdaten. 

9. Verfahren nach Anspruch 7, wobei die Initial-Korrekturdaten durch Berechnung der 
digitalisierten biometrischen Merkmalsdaten modulo n erstellt werden. 

10. Verfahren nach Anspruch 8, wobei die Authentifizierungs-Korrekturdaten durch 
Berechnung der Authentifizierungsmerkmalsdaten modulo n erstellt werden. 

11. Verfahren nach Anspruch 2 bis 10, das benutzerspezifische Imtial-Korrekturdaten 
und/oder benutzerspezifische fehlertolerante Kodierung aufweist. 
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12. Verfahren nach einem der Anspruche 2 bis 1 1, bei dem axis dem biometrischen 
Merkmal ein offentlicher und ein geheimer Teil bestimmt oder geschatzt wird. 

13. Verfahren nach Anspruch 12, bei dem die Trennung in einen offentlichen xind einen 
geheimen Teil des biometrischen Merkmals mit Hilfe von empirischen Erhebungen 
erfolgt. 

14. Verfahren nach Anspruch 1 bis 12, bei dem mit Hilfe einer Hash-Funktion aus den 
digitalisierten biometrischen Merkmalsdaten ein Hash- Wert erstellt wird. 

15. Verfahren nach einem der Anspruche 1 bis 14, bei dem mit Hilfe einer Hash-Funktion 
aus den digitalisierten biometrischen Authentifizierungs-Merkmalsdaten ein Hash- Wert 
erstellt wird. 



1 5 16. Verfahren nach einem der vorhergehenden Anspruche, bei dem das biometrischen 
Merkmal eine Verhaltensbiometrie ist 

17. Verfahren nach einem der vorhergehenden Anspruche, bei dem das biometrische 
Merkmal axis einer handschriftlich geleitsteten Unterschrift besteht. 

20 

18. Verfahren nach einem der vorhergehenden Anspruche, bei dem die handschriftlich 
geleistete Unterschrift in einen offentlichen und einen geheimen Teil zerlegt wird und 
der geheime Teil eine echte Untermenge der dynamischen Information der Unterschrift 
ist. 

25 

19. Verfahren nach einem der vorhergehenden Anspruche, bei dem die Bereitstellung 
xind/oder Digitalisierung des biometrischen Merkmals mehrfach erfolgt. 

20. Verfahren nach einem der vorhergehenden Anspruche, bei dem die geheimen Daten 
30 mit einem Public-Key- Verfahren erzeugt werden. 
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21. Voirichtung, insbesondere zur Durchfuhrung des Verfahrens nach einem der 
vorhergehenden Anspriiche, mit: 

(a) einem Mittel zur Digitalisierung eines biometrischen Merkmals zur Erstellung 
von digitalisierten biometrischen Merkmalsdaten; 

(b) einem Mittel zur Bereitstellung von geheimen Daten; 

(c) einem Mittel zur fehlertoleranten Kodierung und zur Dekodierung der 
geheimen Daten; sowie 

(d) einem Mittel zur Ver- und Entschliisselung der geheimen Daten mit Hilfe der 
digitalisierten biometrischen Merkmalsdaten. 

22. Vorrichtung nach Anspruch 21, die ein Mittel zur Erstellung von Kodeworten aufweist. 

23. Vorrichtung nach Anspruch 21, die ein Mittel zur Erstellung von Initial-Korrekturdaten 
aufweist. 

24. Vorrichtung nach einem der Anspriiche 21 bis 23, die ein Mittel zur Bereitstellung 
eines Hashwerts aufweist. 

25. Vorrichtung nach einem der Anspriiche 21 bis 24, die ein Mittel zur Zerlegung des 
biometrischen Merkmals in einen offentlichen und einen geheimen Teil aufweist. 

26. Vorrichtung nach Anspruch 25, die ein Mittel zur Zerlegung in einen offentlichen und 
einen geheimen Teil des biometrischen Merkmals mit Hilfe von statistischen 
Erhebungen aufweist. 

27. Vorrichtung nach Anspruch 21 bis 26, die femer ein Mittel zur Erfassung einer 
handschriftlich geleisteten Unterschrift als biometrisches Merkmal aufweist. 
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